Best Practices für API-Strategie

Programmierschnittstellen (APIs) sind für Unternehmen von unschätzbarem Wert und dienen dazu, Anwendungen, Systeme und Datenbanken zu verbinden und zu integrieren, Workflows zu Orchestrate, die Entwicklung und Verteilung neuer Apps und Dienste zu beschleunigen, Schnittstellen für Altlasten zu modernisieren und vieles mehr. Das durchschnittliche Unternehmen hat über 613 API-Endgeräte in der Produktion.

Wenn jedoch APIs ad hoc erstellt, bereitgestellt oder in Unternehmen integriert werden, riskieren Unternehmen, Wertpotenzial ungenutzt zu lassen oder schlimmer noch, sich Cybersicherheitsrisiken auszusetzen. Eine umfassende API-Strategie trägt dazu bei, dass ein Unternehmen seine APIs optimal nutzt und dass die APIs im Dienste gemeinsamer Geschäftsinitiativen eingesetzt werden.

Eine API-Strategie ist ein übergeordneter Plan, der darlegt, wie ein Unternehmen APIs nutzen wird, um seine Geschäftsziele zu erreichen. Es legt Richtlinien und Richtlinien für API-Design, Entwicklung und Bereitstellung, API-Management, Sicherheit und mehr fest. Eine API-Strategie stellt sicher, dass die APIs eines Unternehmens nicht isoliert existieren, sondern im Dienste größerer geschäftlicher Anforderungen und Ziele zusammenarbeiten.

Eine API-Strategie berücksichtigt die technischen, sicherheitsrelevanten und Compliance-Bedürfnisse eines Unternehmens und trägt gleichzeitig dazu bei, ein nachhaltiges, vorhersehbares und zentralisiertes System für die Implementierung neuer APIs in der Zukunft zu fördern.

Kurz gesagt, hilft eine API-Strategie Unternehmen dabei, effizientere, wertvollere und sicherere APIs zu entwickeln und zu verwalten. Die Funktionalität von APIs ist so umfangreich, vielfältig und entwickelt sich so rasant weiter, dass die Stakeholder eine konkrete Strategie benötigen, um Kohäsion, Effizienz und Effektivität in API-Projekten zu gewährleisten.

Weil es viele Arten von APIs gibt (und noch mehr Arten, wie sie verwendet werden) – und sie in modernen Unternehmen eine so wichtige Rolle spielen, müssen Unternehmen über eine klare und umfassende API-Strategie verfügen, um die Ordnung in ihrem digitalen Ökosystem aufrechtzuerhalten, Ressourcenverschwendung und Sicherheitsrisiken zu vermeiden und sicherzustellen, dass ihre APIs so viel Geschäftswert wie möglich bieten.

Eine robuste API-Strategie kann eine bessere Erfahrung für Entwickler bieten, die Kompatibilität und Skalierbarkeit verbessern, Unternehmen bei der Monetarisierung ihrer APIs helfen und vieles mehr. Die API-Strategie ist ebenfalls ein wichtiger Bestandteil zur Erreichung ganzheitlicher Ziele wie der digitalen Transformation.

Die digitale Transformation ist eine Strategie, die darauf abzielt, digitale Technologie in einem Unternehmen zu integrieren. Es handelt sich um eine vollständige Überarbeitung von Prozessen, Produkten, Abläufen und dem Technologie-Stack, um eine kontinuierliche, schnelle und kundenorientierte Innovation zu ermöglichen. Es geht nicht nur darum, bestimmte Prozesse zu ersetzen oder Dienstleistungen zu aktualisieren; es ist eine vollständige Unternehmenstransformation, bei der die Technologie im Mittelpunkt des Unternehmens steht.

APIs – und eine gut durchdachte API-Strategie – spielen eine überaus wichtige Rolle bei dieser Transformation. Im Mittelpunkt steht die Technologie, und so werden APIs häufig verwendet, um Technologien unternehmensweit zu verbinden und Benutzer mit Unternehmensanwendungen, -systemen und -diensten zu verknüpfen.

APIs ermöglichen es Unternehmen, mehr Dienste für mehr Nutzer bereitzustellen (und damit neue Einnahmequellen zu erschließen), diese Dienste zu beschleunigen und die Erfahrung zu verbessern, den Datenaustausch zwischen internen Systemen, Datenbanken und Anwendungen zu erleichtern, Ressourcen, die bei verschiedenen Cloud-Providern gehostet werden, zu verbinden, Altlasten zu modernisieren und vieles mehr. 

Eine starke Unternehmens-API-Strategie beinhaltet eine umfassende API-Dokumentation (Mehr dazu, wie Unternehmen APIs entdecken können), die klar erklärt, wie die APIs eines Unternehmens gebaut und genutzt werden. Ein Developer Portal kann ein wertvolles Werkzeug sein, um sowohl Front-End- als auch Back-End-APIs für Entwickler verfügbar, organisiert und auffindbar zu machen. Ohne eine gute API-Strategie könnten Entwickler Schwierigkeiten haben, die benötigten Tools zu finden, was die Produktion und Implementierung verlangsamen und zu API-Redundanz und verschwendeten Ressourcen führen kann.

APIs müssen überwacht und aktualisiert werden, um mit neuer Software und Softwareupdates Schritt zu halten. Eine gut entwickelte API-Strategie umfasst in der Regel Pläne für den gesamten API-Lebenszyklus: Ideenfindung, API-Design, Tests, Implementierung, Wartung und, falls erforderlich, die Einstellung. Ein solcher Prozess gewährleistet die Konsistenz der API-Kompatibilität mit den neuesten Softwareversionen und verringert das Risiko von Kompatibilitätsproblemen oder unvorhersehbarem Verhalten.

Die Entwicklung der Technologie bedeutet, dass fast jedes Unternehmen auf irgendeine Art von Altlast-Service, Software oder Datenbank angewiesen ist. Die Aktualisierung dieser Ressourcen ist oft kostspielig und zeitaufwändig.

Während die Modernisierungsbemühungen voranschreiten, können Unternehmen APIs nutzen, um die Schnittstelle zu diesen Systemen und Datenbanken zu modernisieren. So können Unternehmen ältere Ressourcen integrieren und die darin enthaltenen wertvollen Daten nutzen, ohne auf die Aktualisierung des gesamten Systems warten zu müssen.

So kann beispielsweise ein großer Bestand an Kundenkontodaten in einer Datenbank gespeichert sein, die vom Rest des Unternehmens nicht mehr genutzt wird. Anstatt all diese Daten mühsam in ein neues System zu migrieren (oder während diese Migration im Gange ist), kann eine API verwendet werden, damit andere Teile des Systems mit der Datenbank kommunizieren und Informationen anfordern können.

Eine API-Strategie stellt sicher, dass APIs so entworfen, bereitgestellt und dokumentiert werden, dass das Unternehmen auf festgelegte Ziele ausgerichtet ist und mit einer breiteren Geschäftsstrategie übereinstimmt. Die API-Strategie hilft bei der Erstellung einer Roadmap für die API-Entwicklung und -Verteilung sowie eines Plans, der zu zusammenhängenderen und optimierten Geschäftsmodellen und einem größeren API-Wert führt.

APIs werden häufig als Angriffsvektor eingesetzt und bringen ein Sicherheitsrisiko dar, das angegangen werden muss. Eine API-Strategie, die die Sicherheitsstandards eines Unternehmens detailliert und darlegt, wie das Unternehmen den Missbrauch seiner APIs verhindern wird, kann dieses Risiko verringern. Hierfür werden häufig Tools wie API-Gateways und Techniken wie Authentifizierung oder Ratenbegrenzung eingesetzt.

Rate Limiting wird eingesetzt, um das Risiko von Brute-Force- oder Distributed Denial-of-Service-Angriffen (DDoS-Angriffen) zu verringern. Sie blockiert oder verwirft Anfragen, die ein Volumenrisiko darstellen, und verhindert, dass die Systeme mit Anfragen überflutet werden. Es gibt auch automatisierte Funktionen, die noch präziser sein können. Zum Beispiel können Unternehmen Ratenlimits für bestimmte IP-Adressen mit hoher Anfrageaktivität festlegen, die als verdächtig gekennzeichnet wurden. 

Authentifizierungstechniken sind ebenfalls in die API-Sicherheitsstrategie integriert, um sicherzustellen, dass nur sichere und genehmigte Anfragen erfüllt werden. OAuth, oder offene Autorisierung, ist ein Protokoll, das ein Token verwendet, das Benutzern Zugriff auf zuvor genehmigte Daten oder Dienste gewährt, ohne dass sie sich anmelden müssen. API-Schlüssel, eine eindeutige Zeichenkette, die nur dem Client und dem Server bekannt ist, sind ein weiteres beliebtes Tool, das Unternehmen verwenden, um APIs sicher zu halten.

Unternehmen können automatisierte Testplattformen einsetzen, die die Systemsicherheit kontinuierlich überprüfen, um die manuellen Kontrollen und Tests zu ergänzen und zu verbessern.

In einer Microservices-Architektur bestehen Anwendungen aus vielen lose gekoppelten und unabhängig voneinander einsetzbaren kleineren Komponenten oder Diensten. Diese Komponenten kommunizieren häufig über APIs.

Microservices ermöglichen größere Flexibilität und Vielseitigkeit, können aber auch Komplikationen hervorrufen, einschließlich Kompatibilitätsprobleme, Latenzprobleme wegen der größeren Menge an Netzwerkverbindungen und erhöhter Daten-Protokollierung. Tatsächlich bringt eine Microservices-Architektur mehr Freiheit, aber auch eine Erhöhung der Komplexität mit sich.

Eine Unternehmens-API-Strategie hilft dabei, die API-Konsistenz und Auffindbarkeit herzustellen, die für schnelle und effiziente Microservice-Anwendungen erforderlich sind.

Eine API-First-Strategie räumt APIs als Unternehmensassets eine hohe Priorität ein. In diesem Konzept sind APIs die Eckpfeiler, um die herum Entwickler Code schreiben, und nicht Funktionen, die erst nach der Softwareentwicklung hinzugefügt werden. Es ist ein beliebter Ansatz in Digital-First-Strategien, weil er die Integration und Kommunikation zwischen Unternehmenssystemen, Datenbanken und Anwendungen betont.

Eine API-first-Strategie bietet mehrere Nutzen:

• Verringert das Risiko von API-Redundanz
  
  
• Fördert die Wiederverwendung von APIs
  
  
• Macht APIs an einem zentralen Ort auffindbar, um die Suche und Nutzung zu vereinfachen.
  
  
• Macht das API-Ökosystem effizienter
  
  
• Verringert die Zeit, die Entwickler für das Debuggen von Code aufwenden
  
  
• Ermöglicht eine größere Skalierbarkeit
  
  
• Ermöglicht eine einfachere API-Wartung und Aktualisierung
  
  
• Bietet einen Wettbewerbsvorteil in einer zunehmend API-lastigen Welt
  
  
• Ermöglicht Entwicklungsteams, parallel an mehreren APIs gleichzeitig zu arbeiten und in Echtzeit zusammenzuarbeiten.

API-Strategien unterscheiden sich je nach Geschäftszielen und Bedürfnissen jedes einzelnen Unternehmens. Aber es gibt einige größere Konzepte und Komponenten, die starke API-Strategien ausmachen, und viele API-Strategien werden mit den folgenden Schritten aufgebaut:

Die Strategieentwicklung beginnt mit einer einfachen Frage: Was versucht die Organisation mit ihren APIs zu erreichen?

Diese Ziele sollten mit anderen Zielen des Unternehmens in Einklang gebracht werden, sei es die Umsetzung einer digitalen Transformation, die Optimierung von Workflows für Entwickler, die Steigerung von Metriken wie Nutzerbasis, Customer Experience oder Monetarisierung, die Steigerung der betrieblichen Effizienz – oder natürlich all das zusammen.

Eine gründliche Katalogisierung potenzieller Anwendungsfälle kann eine Richtung für eine effektive API-Strategie geben.

Möchte das Unternehmen Daten unkompliziert zwischen internen Teams teilen? Soll es Entwicklern erleichtert werden, Software schnell zu erstellen und zu verbessern? Soll sie Kunden oder Benutzer mit Daten und Services verbinden? API-Strategien ändern sich je nach den genauen Bedürfnissen eines Unternehmens, daher ist es sinnvoll, mit einer einfachen Frage zu beginnen: Wie werden APIs verwendet?

API-Governance bezieht sich auf den umfassenden Satz von Standards, Richtlinien und Praktiken, die bestimmen, wie ein Unternehmen seine APIs entwickelt, bereitstellt und nutzt.

Im Idealfall skizziert ein Unternehmen zuerst die Unternehmensführung und entwirft dann APIs gemäß diesen Regeln und nicht umgekehrt. Bei der Ausarbeitung dieser Governance-Struktur berücksichtigen die Teams Faktoren wie die Ziele des Unternehmens, die vorhandenen Technologien und welche Technologien das Unternehmen in Zukunft einsetzen könnte.

Ein Governance-Framework könnte auch festlegen, welche Arten von APIs für verschiedene Anwendungsfall verwendet werden. Es gibt verschiedene API-Protokolle, Architekturstile und Sprachen, die alle ihre Stärken und Schwächen haben. Dazu gehören¹:

Remote Procedure Call (RPC) ist ein Protokoll, das es einem Programm ermöglicht, einen Dienst von einem anderen Programm auf einem anderen Computer anzufordern und im Wesentlichen denselben Code zu verwenden, als ob es einen Dienst lokal anfordern würde.

RPC bietet das hochrangige Kommunikationsparadigma, das im Betriebssystem verwendet wird. Es wird die Existenz eines Low-Level-Transportprotokolls, wie z. B. das Transmission Control Protocol/Internet Protocol (TCP/IP) oder das User Datagram Protocol (UDP), für die Übertragung der Nachrichtendaten zwischen kommunizierenden Programmen vorausgesetzt.

RPC implementiert ein logisches Client-zu-Server-Kommunikationssystem, das speziell für die Unterstützung von Anwendungen entwickelt wurde. ²

Zu den RPC-Protokolltypen gehören XML-RPC, JSON-RPC und gRPC.

Representational State Transfer (REST) ist eine Reihe von Web-API-Architekturprinzipien. REST-APIs – auch bekannt als REST-konforme oder RESTful APIs – sind APIs, die bestimmte REST-Architekturbeschränkungen einhalten. REST-APIs verwenden HTTP-Anfragen wie GET, PUT, HEAD und DELETE zur Interaktion mit Ressourcen. REST stellt Daten als Ressourcen zur Verfügung, wobei jede Ressource durch eine eindeutige URI repräsentiert wird. Clients fordern eine Ressource an, indem sie deren URI angeben.

REST-APIs sind statusunabhängig – sie speichern keine Clientdaten zwischen Anfragen. Es ist möglich, RESTful APIs mit SOAP-Protokollen zu erstellen, aber Praktiker betrachten die beiden Standards normalerweise als konkurrierende Spezifikationen.

GraphQL ist eine Open-Source-Abfragesprache und serverseitige Laufzeit, die es Clients ermöglicht, genau die Ressourcen zu nutzen, die sie benötigen. Im Gegensatz zu REST, das typischerweise mehrere Endgeräte zum Datenabruf und zur Durchführung von Netzwerkoperationen verwendet, verwenden GraphQL-APIs einen einzigen GraphQL-Endgerät, um den Clients eine präzise, umfassende Datenantwort in einer einzigen Anforderung zu geben und so Über- und Unterabrufprobleme zu vermeiden.³

Allerdings kann GraphQL für einfache Anwendungen mehr Komplexität verursachen, als nötig ist.

Simple Object Access Protocol (SOAP) ist eine leichtgewichtige XML-basierte Messaging-Protokollspezifikation, die es Endgeräten ermöglicht, Daten über eine Reihe von Kommunikationsprotokollen wie SMTP (Simple Mail Transfer Protocol) und HTTP (Hypertext Transfer Protocol) zu senden und zu empfangen. SOAP ist unabhängig, was es SOAP-APIs ermöglicht, Informationen zwischen Anwendungen oder Softwarekomponenten auszutauschen, die in verschiedenen Umgebungen ausgeführt werden oder in verschiedenen Sprachen geschrieben sind.

API Management-Plattformen sind Tools, die speziell entwickelt wurden, um APIs an einem zentralen Ort umfassend zuzugreifen, zu kontrollieren, zu verteilen und zu analysieren. API Management-Plattformen ermöglichen Unternehmen, Dokumentation und Tools unter Teams zu teilen, können die Datensicherheit stärken, Compliance- und Governance-Standards erfüllen und digitale Transformation unterstützen.

Zu den API-Management-Plattformen gehört oft ein Entwicklerportal, das Entwicklern als zentrale Anlaufstelle dient, um die API-Dokumentation zu durchsuchen, darauf zuzugreifen und sie zu teilen. Diese Lösung kann das Problem mehrerer Repositories, eingestellter Bibliotheken und mysteriöser Eigentumsdaten in API- und Softwareentwicklung umgehen: Alles ist an einem Ort.

API-Plattformen beinhalten auch wertvolle Analysetools. Diese zentralisierte Plattform dient zur Überwachung der API-Nutzung, der Reaktionszeit und der Leistung und zur Erkennung von API-Schwachstellen.

Schließlich ermöglicht der Einsatz von API-Management-Plattformen ein vollständiges API-Lebenszyklusmanagement. Der API-Lebenszyklus umfasst viele verschiedene Phasen: Erstellung, Entwicklung, Test, Veröffentlichung, Wartung und Außerbetriebnahme. Eine API-Plattform kann all diese Phasen an einem Ort zusammenführen und bietet Unternehmen so Einblick in große, komplexe API-Umgebungen.

Da APIs den Zugriff auf Daten und Dienste ermöglichen, sei es für interne oder externe Kunden, sollte die Sicherheit in allen Phasen der API-Strategieentwicklung ein wichtiger Aspekt sein. Fehlerhafte API-Sicherheit kann zu Cyberangriffen, Data Breach und anderem unbefugten Zugriff führen. Eine API-Strategie muss die Adresse angeben, wie ein Unternehmen sicherstellt, dass APIs sicher und konform sind, und Ansätze zu Authentifizierung, Verschlüsselung, Validierung, Überwachung, regelmäßigen Updates und mehr detailliert beschreiben.

Eine vollständige API-Strategie umfasst Pläne für das, was nach der Erstellung von APIs geschieht – wie sie überwacht, gewartet, analysiert, getestet und aktualisiert werden.

Die Überwachung der API-Nutzung ist aus mehreren Gründen unerlässlich, unter anderem um:

• Stellen Sie sicher, dass APIs ordnungsgemäß und fehlerfrei funktionieren
  
  
• Analysieren Sie Datenverkehrsmuster, um ungewöhnliches und potenziell gefährliches Verhalten zu erkennen.
  
  
• Bestätigen Sie, dass alle APIs auf dem neuesten Stand sind
  
  
• Achten Sie auf mögliche Duplikate.
  
  
• Entfernen Sie APIs, die nicht mehr funktionieren oder ersetzt wurden

Eine API-Strategie sollte detailliert darlegen, wie ein Unternehmen die Sichtbarkeit seiner gesamten API-Umgebung fördert, wie Erkenntnisse aus der Analyse und dem Feedback zur Verbesserung der Leistung einbezogen werden, wie Updates implementiert und dokumentiert werden und wie, wenn nötig, APIs eingestellt werden.